it-swarm-id.com

Server untuk pengujian penetrasi

Saya belajar menggunakan Metasploit sebagai bagian dari salah satu pelajaran kuliah saya. Seperti yang Anda ketahui ada perangkat lunak yang dibangun seperti NOWASP (Mutillidae) atau Damn Vulnerable Linux yang memungkinkan Anda berolahraga pada hal-hal yang terbaik atau serupa. Saya telah mendengar bahwa agar payload berfungsi, target-korban harus menjalankan PC-nya sebagai server. Saya telah mencoba mengatur server ke mesin yang sama (melalui Virtualbox) dan menjadikannya sebagai target tetapi gagal. Jadi, tahukah Anda jika ada server atau sesuatu yang serupa yang memungkinkan saya berlatih (secara hukum, menentang sistem pengujian)?

45
py_script

http://www.irongeek.com/i.php?page=security/wargames

WebGoat . WebGoat adalah sekumpulan halaman server sengaja tidak aman Java

http://www.hackthissite.org/

http://www.smashthestack.org/wargames

dari FAQ mereka:

Jaringan Smash the Stack Wargaming meng-host beberapa Wargames. Wargame dalam konteks kita dapat digambarkan sebagai lingkungan peretasan etis yang mendukung simulasi teori atau konsep kerentanan perangkat lunak dunia nyata dan memungkinkan untuk pelaksanaan hukum teknik eksploitasi. Perangkat lunak dapat berupa Sistem Operasi, protokol jaringan, atau aplikasi pengguna apa pun.

http://www.astalavista.com/page/wargames.html

http://www.governmentsecurity.org/forum/index.php?showtopic=15442

http://www.overthewire.org/wargames/

daftarnya panjang ... ada yang naik, ada yang tidak ...

Pembaruan 26 Feb 2011, saya menemukan posting yang bagus dari http://r00tsec.blogspot.com/2011/02/pentest-lab -vulnerable-servers.html . Beberapa tautan mungkin rusak. Saya salin dari sana:

Holynix Mirip dengan de-ice Cd dan pWnOS, holynix adalah gambar vmware server ubuntu yang sengaja dibuat untuk memiliki celah keamanan untuk keperluan pengujian penetrasi. Lebih banyak halangan daripada contoh dunia nyata. http://pynstrom.net/index.php?page=holynix.php

WackoPicko WackoPicko adalah situs web yang berisi kerentanan yang diketahui. Ini pertama kali digunakan untuk kertas Mengapa Johnny Tidak Bisa Pentest: Sebuah Analisis Kerentanan Web Black-box Scanner ditemukan: http://cs.ucsb.edu/~adoupe/static/black-box-scanners- dimva2010.pdfhttps://github.com/adamdoupe/WackoPicko

De-ICE PenTest LiveCDs PenTest LiveCDs adalah ciptaan Thomas Wilhelm, yang dipindahkan ke tim uji penetrasi di perusahaan tempat dia bekerja. Karena perlu belajar sebanyak mungkin tentang pengujian penetrasi, Thomas mulai mencari alat dan target. Dia menemukan sejumlah alat, tetapi tidak ada target yang dapat digunakan untuk berlatih melawan. Akhirnya, dalam upaya untuk mempersempit kesenjangan pembelajaran, Thomas menciptakan skenario PenTest menggunakan LiveCD. http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

Metasploitable Metasploitable adalah instalasi server Ubuntu 8.04 pada gambar VMWare 6.5. Sejumlah paket rentan disertakan, termasuk instalasi Tomcat 5.5 (dengan kredensial lemah), distcc, tikiwiki, twiki, dan mysql yang lebih lama. http://blog.metasploit.com/2010/05/introducing-metasploitable.html

Owaspbwa Buka Proyek Keamanan Aplikasi Web (OWASP) Proyek Aplikasi Web Rusak, kumpulan aplikasi web yang rentan. http://code.google.com/p/owaspbwa/

Web Security Dojo Lingkungan pelatihan mandiri open-source gratis untuk pengujian penetrasi Keamanan Aplikasi Web. Alat + Target = Dojo http://www.mavensecurity.com/web_security_dojo/

Pelatihan Lampsecurity LAMPSecurity dirancang untuk menjadi serangkaian gambar mesin virtual yang rentan bersama dengan dokumentasi pelengkap yang dirancang untuk mengajarkan linux, Apache, php, keamanan mysql. http://sourceforge.net/projects/lampsecurity/files/

Damn Vulnerable Web App (DVWA) Damn Vulnerable Web App adalah aplikasi web PHP/MySQL yang sangat rentan. Tujuan utamanya adalah untuk menjadi bantuan bagi para profesional keamanan untuk menguji keterampilan dan alat mereka dalam lingkungan hukum, membantu pengembang web lebih memahami proses pengamanan aplikasi web dan membantu guru/siswa untuk mengajar/mempelajari keamanan aplikasi web di lingkungan ruang kelas . www.dvwa.co.uk

Hacking-Lab Ini adalah proyek LiveCD Hacking-Lab. Saat ini dalam stadium beta. Live-cd adalah lingkungan klien terstandarisasi untuk menyelesaikan tantangan wargame Hacking-Lab kami dari jarak jauh. http://www.hacking-lab.com/hl_livecd/

Ngengat Ngengat adalah gambar VMware dengan sekumpulan Aplikasi Web dan skrip yang rentan, yang dapat Anda gunakan untuk: http://www.bonsai-sec.com/en/research/moth.php

Damn Vulnerable Linux (DVL) Damn Vulnerable Linux adalah segalanya yang bukan distribusi Linux yang baik. Pengembangnya menghabiskan waktu berjam-jam untuk mengisinya dengan perangkat lunak yang rusak, tidak dikonfigurasi, ketinggalan zaman, dan dapat dieksploitasi yang membuatnya rentan terhadap serangan. DVL tidak dibangun untuk dijalankan di desktop Anda - ini adalah alat pembelajaran untuk siswa keamanan. http://www.damnvulnerablelinux.org

pWnOS pWnOS menggunakan "VM Image", yang menciptakan target untuk melakukan pengujian penetrasi; dengan "tujuan akhir" adalah untuk mendapatkan root. Itu dirancang untuk berlatih menggunakan exploit, dengan beberapa titik masuk http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html - http://www.krash.in/bond00/pWnOS%20v1.0.Zip

Virtual Hacking Lab Sebuah cermin dari aplikasi yang tidak aman dan perangkat lunak lama dengan kerentanan yang diketahui. Digunakan untuk pelatihan/pembelajaran bukti konsep/keamanan. Tersedia dalam gambar virtual atau live iso atau format mandiri. http://sourceforge.net/projects/virtualhacking/files/

Badstore Badstore.net didedikasikan untuk membantu Anda memahami bagaimana peretas memangsa kerentanan aplikasi Web, dan menunjukkan kepada Anda cara mengurangi paparan Anda. http://www.badstore.net/

Katana Katana adalah rangkaian keamanan multi-boot portabel yang menyatukan banyak distribusi keamanan terbaik dan aplikasi portabel untuk menjalankan Flash Drive tunggal. Ini mencakup distribusi yang berfokus pada Pengujian Pena, Audit, Forensik, Pemulihan Sistem, Analisis Jaringan, dan Penghapusan Malware. Katana juga dilengkapi dengan lebih dari 100 aplikasi Windows portabel; seperti Wireshark, Metasploit, NMAP, Cain & Able, dan banyak lagi. www.hackfromacave.com/katana.html

45
labmice

Ada beberapa opsi untuk menyiapkan jaringan pengujian untuk dikerjakan. Ada daftar yang baik dari sistem operasi rentan yang dikenal di pertanyaan ini , yang mencakup DVL dan Metasploitable.

Dalam hal mengaturnya sebagai server di jaringan Anda, Anda terutama memerlukan beberapa perangkat lunak virtualisasi yang berfungsi.

Tidak yakin apa masalah yang Anda hadapi dengan Virtualbox, Anda dapat mencoba VMWare Player . Ini adalah sistem virtualisasi gratis, dan relatif mudah, yang seharusnya memungkinkan Anda untuk menginstal sistem operasi yang rentan yang disebutkan di atas. Setelah berhasil, Anda harus dapat menginstal perangkat lunak tersebut ke mesin virtual yang dapat diakses dari mesin Host Anda melalui jaringan virtual, dan Anda harus dapat mengujinya.

20
Rory McCune

Metasploitable dan UltimateLAMP-0.2 adalah mesin virtual target yang bagus untuk diuji.

16
HD Moore

Saya telah mencoba mengatur server ke mesin yang sama (melalui virtualbox) dan menjadikannya sebagai target tetapi gagal

Menggunakan mesin virtual mungkin adalah cara yang tepat untuk menyelesaikan masalah - jika Anda mengatakan mengapa Anda gagal untuk menjalankan dan menjalankannya, maka mungkin Anda bisa mendapatkan bantuan untuk menyelesaikan masalah ini (serverfault mungkin merupakan tempat yang lebih tepat untuk membahas membangun vms).

7
symcbean

Hanya untuk bersenang-senang saya akan mencatat bahwa ada tes publik langsung paket Voting Internet sebelum pemilihan 2010 di DC. Tapi sekarang sudah selesai jadi kamu tidak bisa ikut bersenang-senang.

Ini membantu beberapa peneliti keamanan di University of Michigan mengajar administrator pemilu beberapa pelajaran besar tentang bagaimana Voting Internet adalah masalah keamanan kelas dunia yang tidak terpecahkan sekalipun. Lihat juga Bahaya Voting Internet Dikonfirmasi | Blog Voting Terverifikasi

4
nealmcb